HOME情報セキュリティ情報セキュリティ対策脆弱性対策SQLインジェクション攻撃に関する注意喚起

本文を印刷する

情報セキュリティ

SQLインジェクション攻撃に関する注意喚起

最終更新日 2008年5月15日
掲載日 2008年5月15日
>> ENGLISH

 独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、近年、SQLインジェクション攻撃が急増していることから、ウェブサイト管理者等への注意を喚起するとともに、ウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査等の対策実施を推奨します。

 近年、ウェブサイトを狙ったSQLインジェクション攻撃が急増しています。特に2008年3月頃より、有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)(*1)や内外の情報セキュリティ対策企業が、SQLインジェクション攻撃によるウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を相次いで発表しています。また、5月6日には、SQLインジェクション攻撃を行う悪質プログラム(ワーム)が確認された旨の注意喚起を米国SANS Institute(*2)が実施しています。IPAに届出られたウェブサイト(ウェブアプリケーション)の脆弱性の約3割がSQLインジェクションの脆弱性となっています(*3)

 SQL(Structured Query Language)とは、データベースへの問合わせ(Query)命令文を組立てて(Structured)実行するために、ウェブアプリケーションが使用しているコンピュータの言語(Language)です。ウェブアプリケーションの多くは利用者からの入力情報を基にSQL文を組立てています。この組み立て方法に問題があると、悪意を持って細工されたSQL文もデータベースへの問い合わせの一部として埋め込んで(Injection)しまう可能性があります。この問題を悪用した攻撃をSQLインジェクション攻撃と呼んでいます。攻撃された場合、データベースに蓄積された情報の漏えい・改ざん、不正操作などの脅威があります(*4)

 このため、データベースを利用しているウェブサイトの運営者は、SQLインジェクション攻撃によりウェブサイトに被害が発生していないか、ウェブサーバのアクセスログを常に調査し、攻撃があった場合は、データベースに認知していないリンクが含まれていないかを確認する必要があります。また、ウェブサイトの脆弱性検査を行い、脆弱性対策を講ずることが必要です。

 IPAでは、SQLインジェクション攻撃への対策を、「安全なウェブサイトの作り方」で公開しています。また、SQLインジェクション脆弱性の検出を簡易に行うツール「iLogScanner」を4月18日に公開しました(*5)。このツールは、ウェブサーバのアクセスログの中から、SQLインジェクション攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかを解析する簡易ツールです。

 例えば、IPAで公開しているオープンソース情報データベース「OSS iPedia(*6)」の2008年1月から4月のアクセスログを「iLogScanner」で解析したところ、合計44件のSQLインジェクション攻撃を検出しました。攻撃に成功した件数は0件でしたが、図1に示すように、4月は29件のSQLインジェクション攻撃があり、1~3月に比べて増加しています。

 「iLogScanner」は、ブラウザ上で実行するJavaアプレット形式のツールであり、誰でも簡単に使用することができます。4月18日の公開以来、2千件を超えるダウンロードを記録しています。なお、「iLogScanner」は簡易ツールであり、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。また、ウェブサイトの開発者やセキュリティ企業が、「iLogScanner」を取引先等に紹介され、それぞれの顧客システムのセキュリティ向上の契機となることを期待します。

 

図1.脆弱性検出ツール「iLogScanner」の解析事例

 

『脚注』

(*1) 有限責任中間法人 JPCERT コーディネーションセンター。
http://www.jpcert.or.jp/at/2008/at080005.txt

(*2) SANS Internet Storm Center。
http://isc.sans.org/diary.html?storyid=4393

(*3) ソフトウエア等の脆弱性関連情報に関する届出状況[2008年第1四半期(1月~3月)]。
http://www.ipa.go.jp/security/vuln/report/vuln2008q1.html

(*4) SQLインジェクションの概要は「知っていますか?脆弱性 (ぜいじゃくせい)」を参照。
http://www.ipa.go.jp/security/vuln/vuln_contents/index.html

(*5) 「ウェブサイトのSQLインジェクション脆弱性の検出ツール」を公開。
http://www.ipa.go.jp/security/vuln/iLogScanner.html

(*6) OSS iPedia(オーエスエスアイペディア)は、OSS(Open Source Software)の利用促進を進めることを目的とし、OSSの活用事例、技術情報、またオープンソースに関する基本的な知識を整理しています。“OSS”、情報(information)の“i”、ギリシャ語で教育・知識・学問を意味する“Pedia(Paideia)”からの造語です。
http://ossipedia.ipa.go.jp/

 

(参考情報)

(1)「安全なウェブサイトの作り方」改訂第3版

http://www.ipa.go.jp/security/vuln/websecurity.html

(2)ウェブサイトの脆弱性検出ツール「iLogScanner」
  ~ウェブサーバのアクセスログを解析して脆弱性検出を簡易に行うツール~

http://www.ipa.go.jp/security/vuln/iLogScanner/index.html

プレスリリース全文  

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティ センター(IPA/ISEC) 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2008年5月15日 掲載